Dell выпустила критические обновления безопасности для PowerStore, NativeEdge и PowerScale

Dell Technologies опубликовала три бюллетеня безопасности, закрывающих множественные уязвимости в инфраструктурных продуктах. Под угрозой оказались системы хранения PowerStore T, оркестратор граничных вычислений NativeEdge Orchestrator и платформа для масштабируемых файловых хранилищ PowerScale OneFS. Вендор присвоил двум из трёх уязвимостей статус критических, третьей - высокий уровень опасности.

Детали уязвимостей

Первая уязвимость, описанная в бюллетене DSA-2026-273, затрагивает всю линейку PowerStore T: модели 500T, 1000T, 1200T, 3000T, 3200T/Q, 5000T, 5200T/Q, 7000T, 9000T и 9200T. Проблема связана со сторонними компонентами, используемыми в операционной системе PowerStoreT OS версий с 4.3.0.0 по 4.3.1.0. Среди затронутых библиотек - glibc (семь уязвимостей CVE), mozilla-nss (одна уязвимость CVE) и python3 (двадцать уязвимостей CVE). В сумме речь идёт о 28 идентификаторах CVE, часть из которых имеет критические оценки по шкале CVSS. Эксплуатация хотя бы одной из них может позволить злоумышленнику скомпрометировать систему хранения данных, что особенно опасно для корпоративных центров обработки данных и организации работы с критически важными массивами информации. Dell рекомендует обновить PowerStoreT OS до версии 4.3.1.1-2726662 или более поздней.

Вторая критическая уязвимость раскрыта в бюллетене DSA-2026-256 и касается Dell NativeEdge Orchestrator. Это решение для управления граничными вычислениями зачастую развёртывается в распределённых средах, где безопасность обновлений критична. Уязвимости связаны с библиотекой OpenSSL - вендор перечислил 13 CVE, охватывающих целый спектр потенциальных атак: от переполнения буфера до манипуляций с шифрованием. Затрагиваются все версии NativeEdge Orchestrator до 4.2.0.0. Исправление включено в версию 4.2.0.0 и более новые. Учитывая, что OpenSSL используется в том числе для организации шифрованных каналов управления и передачи данных между узлами, скомпрометированная версия может привести к перехвату трафика, внедрению вредоносной полезной нагрузки или полной компрометации оркестратора.

Третья уязвимость, зафиксированная в бюллетене DSA-2026-237, имеет статус высокой степени опасности и относится к Dell PowerScale OneFS. Она затрагивает прошивки узлов хранения PowerScale (модели B100, F200, F600, F900, P100, F210, F710, F910, PA110). Основная часть проблем связана с iDRAC - контроллером удалённого управления Dell, который используется в серверном оборудовании. В бюллетене перечислены 14 CVE, включая CVE-2025-60876 и CVE-2024-38798, которые относятся к старым, но всё ещё актуальным уязвимостям прошивки. Изначально версия бюллетеня от 8 июня была обновлена 9 и 10 июня для уточнения списка затронутых CVE и включения CVE-2024-38798. Исправление требует обновления до версии прошивки 13.2.5 или более поздней.

Центр кибербезопасности Канады (Cyber Centre) рекомендовал пользователям и администраторам ознакомиться с опубликованными бюллетенями и немедленно применить обновления. Dell, в свою очередь, подчёркивает, что оценка критичности основана на средних значениях для разнородных установленных систем. Реальный риск для конкретной инфраструктуры может отличаться, поэтому вендор советует дополнительно учитывать временные и средовые показатели CVSS.

Общее количество закрытых уязвимостей превышает 50 идентификаторов CVE. Набор затронутых продуктов характерен для инфраструктуры среднего и крупного бизнеса: системы хранения, оркестраторы граничных вычислений и масштабируемые файловые хранилища. Эксплуатация любого из перечисленных дефектов в случае успеха может привести к несанкционированному доступу к данным, нарушению работы сервисов или закреплению в сети. Всем администраторам следует как можно скорее провести аудит версий и установить доступные патчи; для PowerScale OneFS требуется также выполнить проверку прошивок узлов через процедуру firmware assessment.

Детали уязвимостей

Ссылки